[서경이 만난 사람] 서종렬 한국인터넷진흥원장

디도스 공격등 언제든 재발 가능
정기적 백신검사등 개인 인식도 높여야 해외사이트 검색·삭제 횟수 확대 등
개인정보 유출 사후 대처도 강화할것 "당뇨병에 걸리고 나서야 병원에 가면 뭐합니까. 미리 몸을 만들어놓아야지요." 분산서비스거부(디도스ㆍDDoS) 공격, 해킹, 최고정보보호책임자(CISO)…. 지난 1년 사이 우리나라 국민들에게 부쩍 익숙해진 단어들이다. 농협 전산사고와 현대캐피탈 개인정보 유출사건이 잇따라 터지면서 해킹 방지와 보안 강화는 금융권의 우선 과제가 됐다. 현재 개인들의 컴퓨터를 '좀비PC'로 만들어 해킹의 도구로 삼는 디도스 공격은 지난해 7월에 이어 올해 3월에도 또다시 발생하면서 경계심을 늦추지 못하게 했다. 한국인터넷진흥원(KISA)은 이 같은 일련의 사건들을 감시하는 곳이다. 평소에는 올바른 인터넷 윤리문화를 권장하는 '도덕 선생님' 같은 이미지지만 사건이 터질 때는 국가 차원의 인터넷 침해사고 대응기관으로 활약한다. 3월 디도스 공격 때 '보호나라' 전용 백신을 배포해 피해를 최소화한 것이 대표적 사례다. 당시 전체 초고속가입자 1,900만명 중 1,151만명이 백신을 다운로드 받아 좀비PC가 될 위험에서 벗어날 수 있었다. 지난해 7ㆍ7 디도스 때는 일일이 전화통화와 가정방문으로 인터넷 이용자들에게 주의를 당부해야 했지만 이때의 경험은 제2차 3ㆍ4 디도스 공격 때 약이 됐다. KISA는 통신사업자들과 협의해 신속히 각 인터넷 이용자들이 볼 수 있는 팝업창으로 경보를 울렸다. 가락동 KISA 사옥에서 만난 서종렬(53ㆍ사진) 원장은 "감염PC 사이버치료체계를 갖춘 덕을 크게 봤다"고 말했다. 서 원장은 인터뷰에서 "보안은 이제 정보기술(IT)이 아니라 사회ㆍ정치적 이슈"라고 강조했다. 보안이 사회ㆍ정치적 이슈로 부상한 첫째 이유는 해킹이나 디도스 공격에 따른 피해가 예전에 비해 점점 커지고 있다는 것. 현대캐피탈의 부실한 관리는 현대캐피탈뿐만 아니라 175만 개개인의 정보유출로 이어졌다. 두 번째로는 해킹ㆍ디도스 공격의 목적이 이전에는 돈과 관련돼 있었다면 지금은 국가 전체를 교란시키려는 목적이 강하기 때문이라는 게 그의 설명이다. 서 원장은 "이런 사건이 터졌을 때만 관심이 높아지는 경향이 있다"며 아쉬움을 드러냈다. 사이버테러 같은 인터넷 침해사고를 막기 위해서는 우선 기업의 투자가 절실하다는 게 그의 지론이다. 서 원장은 "대부분의 기업들이 일년 내내 회의를 해도 보안팀은 한번도 참석하지 않는다"며 "기업들의 보안인식 수준이 낮다"고 지적했다. 특히 서 원장은 "공기 중에 바이러스가 있듯이 악성코드나 디도스 공격은 근본적으로 없앨 수 없다"며 "앞으로도 보안 문제는 계속 나타날 것"이라고 경고했다. 그래서 "당뇨에 걸리고 병원에 가기보다 몸을 먼저 만드는 게 더 중요하다"는 설명이다. 현재 우리나라 기업들의 IT인력 중 정보보호 인력 비중은 1%도 안 된다. 또 기업들 중 정보보호와 관련된 투자가 '제로'인 기업은 64%, 정보화 예산의 1% 미만인 기업은 81%나 된다. 외부의 공격으로 기업 데이터 등에 손실이 생길 경우를 대비해 비상복구 계획을 마련한 기업은 17.3%에 불과하다. 이 때문에 그는 앞으로 기업 최고경영자(CEO)들과 직접 만나 보안 관련 '순회 설명회'를 할 예정이다. ▦IT 인프라에 투입하는 자금에서 10% 정도는 보안에 할애하고 ▦기업들의 보안 수준을 인증해주는 정보보호관리체계(ISMS)를 따르며 ▦'KISA 아카데미'나 '캐슬(CASTLE)' 같은 KISA의 지원사격을 적극 이용해야 한다는 게 CEO들에게 설명할 주요 내용이다. ISMS는 기술적ㆍ관리적ㆍ물리적 보호대책 137개 기준에 부합하는 기업에 부여하는 일종의 '정보보호 안심 인증'이다. KISA가 운영하는 아카데미에는 정보보안 전문가 양성과정 등이 포함돼 있으며 캐슬은 중소기업들의 기업 홈페이지 해킹을 방지하는 프로그램이다. 현재 캐슬은 1만2,000여개 기업에서 사용하지만 아직 중소기업들의 보안 수준이 취약하다는 게 서 원장의 지적이다. KISA는 기업뿐만 아니라 일반인들의 보안 인식도 높이기 위해 노력하고 있다. 현대캐피탈 개인정보 유출사고와 관련해서는 주요 포털과 협력, 비밀번호 변경 캠페인을 실시했다. 또 개인정보 유출에 따른 피해를 막기 위해 '주민번호클린센터'를 통해 명의도용 여부를 확인할 수 있도록 했다. 정품 소프트웨어 사용과 정기적인 백신 검사, 보안패치 설치, 3개월마다 비밀번호 변경 등의 권고사항은 기본이다. 다행히 올 초 방송통신위원회에서 발표한 우리나라 국민들의 '정보보호지수'는 80.5점으로 전년보다 6.6점 높아졌다. 사후대처도 강화하고 있다. KISA는 유출된 개인정보가 해외 웹사이트에서 떠돌아 다닐 경우에 대비해 해외 사이트의 개인정보 노출 여부 검색과 삭제 횟수를 늘렸다. 지난해 월 2회만 감시했던 구글은 올해부터 매주 한번씩 체크한다. 우리나라 국민들의 개인정보가 떠돌아다닐 우려가 더 큰 중국 포털 바이두(百度)는 매주 두 차례 확인한다. 수없이 보안의 중요성을 강조하면서 섭섭한 순간도 많았다. 그는 "경찰관에게 왜 교통위반을 다 못 잡느냐고 따지는 것과 똑같다"면서 "언론에서는 왜 또 공격을 당했냐는 쓴 소리가 나오지만 공격은 늘 당하는 것"이라고 토로했다. 늘 있는 공격을 어떻게 막을지 고민해야 한다는 이야기다. 서 원장은 "항상 질책하는 언론을 보면 좀 억울하지만 그런 인식을 바꾸는 게 중요하다"고 말했다. 이 같은 과업 달성하기 위해 그는 KISA의 체질도 바꿔나가고 있다. 취임 후 6개월 동안 사분오열돼 있던 KISA의 보안인력을 '인터넷침해대응센터'로 통합했고 소속 인력도 97명에서 131명으로 늘렸다. 또 타 부서의 정보보호 인력도 70~80여명에 이른다. 전체 직원 510여명의 절반 가까이가 정보보호 인력인 셈이다. 다만 서 원장의 고민은 이 인력 중 70%가 계약직이라는 것. 그는 "이런 중요한 일을 하는 사람들이 비정규직"이라며 전문성을 키우는 데 한계가 있다고 털어놓았다. 한편 올해 KISA는 인터넷 침해 대응과 개인정보 보호 업무, 건전한 인터넷 문화 조성 등에 역점을 두고 사업을 벌여나갈 예정이다. 특히 개인정보 보호의 경우 올해 내로 개인정보 노출확인 시스템을 구축해 이용자들이 직접 정보노출 여부를 점검할 수 있게 할 계획이다. 또 이용자가 요청할 경우 해당 정보를 삭제하고 삭제 여부를 확인할 수 있게 된다. 인터넷윤리운동은 일부 네티즌들의 허위사실 유포와 악성 댓글 같은 부작용을 막기 위한 것이다. KISA는 3월 조직개편을 통해 인터넷윤리업무팀을 '단(團)' 단위로 확대했다.

30년 가까이 IT 한우물… 급변하는 트렌드 따라잡아 주말출근도 마다안해 '업무광' ■서 원장은 개인시간엔 페이스북 친구들과 소통, 증권사 애널·인수위 참여등 잠깐 외도도 "정보기술(IT)은 모르는 사람이 와서 하기 참 힘든 분야지요." 서종렬 한국인터넷진흥원(KISA) 원장의 이 말에는 지난 1983년부터 30여년 가까이 업계에 몸담아온 이의 자신감이 묻어났다. 하지만 IT는 다른 어떤 분야보다도 트렌드가 빨리 변한다. 이 때문인지 서 위원장이 평일 저녁시간과 주말에도 사무실에 들를 정도로 업무에 열심이라는 게 KISA 관계자의 귀띔이다. "그럼 얼리어답터이기도 하냐"고 묻자 "박용만 두산 회장만큼은 못하지만 얼리어답터가 안 될 수 없다"고 웃으면서 스마트폰을 꺼내 보여줬다. 페이스북 친구인 정병국 문화체육관광부 장관의 페이지가 떠 있었다. 서 위원장의 페이스북 친구 목록에는 석호익 KT 부회장, 양문석 방송통신위원회 상임위원도 포함돼 있었다. 그는 "오후10시 이후 개인시간이 참 소중한 시간인데 페이스북에 올라온 글도 좀 보고 답글도 올리다 보면 시간이 금방 간다"며 "진정한 소통수단은 아니라는 비판도 있지만 외로울 때는 도움이 된다"고 말했다. 자주 쓰는 스마트폰 애플리케이션으로는 모바일 메신저인 '왓츠앱'을 꼽았다. 자녀들과 쪽지를 주고 받기 위해 애용한다는 설명이다. 서 원장은 대학시절 사법고시를 염두에 뒀다. 아직도 IT 분야가 아니라면 법조인의 길을 가지 않았을까 싶다는 설명이다. 하지만 1983년 한국전자통신연구원(ETRI) 연구원으로 사회생활을 시작한 후 인생의 길이 잡혔다. 당시 통신정책연구실에서 우리나라 통신정책에 대한 기본기를 쌓은 후 쌍용경제연구소로 옮겨 IT 분야 전반을 조망했다. 이후 SK텔레콤과 KT에서는 기업인으로서 이동통신 업계를 들여다봤다. 특히 SK텔레콤에서는 2004년 당시 '2.3㎓ 휴대인터넷'이라고 불렸던 와이브로(Wibro) 사업권을 따내는 데 기여하기도 했다. SK텔레콤 관계자는 "당시 서 원장은 IT에도 훤했고 업무와 관련해 상당히 평가가 좋았다"고 귀띔했다. 2009년에는 KT 미디어본부장을 지냈다. 물론 1990대 초 잠시 증권사 애널리스트로 근무하고 이명박 대통령 후보 시절 인수위원회에 참여하기도 했지만 '잠깐의 외도'로 그쳤다. 번번이 IT로 돌아왔다. 서 원장은 KISA 원장으로서 "국가의 일을 한다는 의미가 크다"고 설명했다. 그는 "경쟁률이 높았는데 신청했더니 결과가 좋았다"며 웃었다. 서 원장은 "SK텔레콤을 벗어날 때는 막막했고 당시로서는 KISA에 오리라고 생각도 못했다"며 "인생은 참 예측 불가능"이라고 덧붙였다. ◇약력 ▦1959년 경북 경주 ▦1982년 영남대 경제학과 졸업 ▦1983년 한국전자통신연구원 통신정책연구실 연구원 ▦1988년 쌍용경제연구소 IT정보통신 수석연구원 ▦1993년 SK텔레콤 커머스사업본부 상무 ▦2006년 비즈탤런트 사장 ▦2009년 KT 미디어본부장 ▦2010년 한국인터넷진흥원 원장

스마트폰 이용자가 직접 보안 관리하는 SW 개발·보급 ■모바일 보안 대응력도 키운다 앱 장터 안전성 탐지시스템도 11월까지 국내 IT기업에 제공 최근 스마트폰ㆍ태블릿PC 이용자의 보안 우려가 높아지고 있다. 모바일 기기를 통한 악성코드ㆍ바이러스 감염 우려가 높아졌을 뿐만 아니라 애플의 아이폰 이용자 위치정보 수집 같은 이슈도 불거졌다. 현재 국내 스마트폰 이용자 수는 1,000만명을 넘어섰다. 한국인터넷진흥원(KISA)은 이에 대한 사전 대응과 조치능력 강화를 올해의 주요 목표 중 하나로 잡고 있다. 우선 오는 8월까지 스마트폰 이용자들이 직접 스마트폰 보안상태를 점검, 관리할 수 있는 소프트웨어를 개발해 보급할 예정이다. 이 소프트웨어를 이용하면 스마트폰 비밀번호가 설정돼 있는지, 악성 애플리케이션과 백신이 설치돼 있는지 여부를 확인하고 점검할 수 있다. 또 구글 안드로이드마켓 등 애플리케이션 장터의 안전성을 검사할 탐지 시스템도 개발한다. 11월 국내 정보기술(IT) 기업들에 보급될 이 소프트웨어는 안드로이드마켓 등에서 유통되는 악성 애플리케이션과 악성 코드를 찾아내 삭제하고 이용자 주의 안내 메시지를 띄워준다. 무심코 다운로드 받은 애플리케이션 때문에 이용자가 피해를 보는 일이 없도록 하겠다는 취지다. 이들 소프트웨어는 KISA 코드분석팀에서 직접 개발하고 있다. KISA는 또 이달 초 방송통신위원회와 함께 스마트폰에서 저장ㆍ전송되는 정보를 안전하게 보호할 수 있는 '국산암호 라이브러리'와 애플리케이션을 개발해 개발자 대상으로 보급에 나서고 있다. 스마트폰용 국산암호 라이브러리는 국산 암호기술을 스마트폰에 최적화해 문서 관리, 사진과 동영상 관리, 모바일 결제 애플리케이션 등에서 이용할 수 있도록 한다. 개발자들은 이를 이용해 위치정보ㆍ개인정보ㆍ금융정보 등을 암호화해 안전하게 전송 가능한 애플리케이션을 개발할 수 있다. 이밖에 방통위와 KISA는 스마트폰에 저장되는 중요한 파일을 암호화해주는 애플리케이션 '시큐어 파일 매니저(secure file manager)'와 사용하고 있는 비밀번호의 보안 수준을 진단할 수 있는 '스마트 패스워드 체커(Smart password checker)'를 제공하고 있다. 두 애플리케이션은 SK텔레콤 T스토어, KT 올레마켓, LG유플러스 오즈(OZ)스토어, 애플 앱스토어에서 무료로 다운로드 받을 수 있다.